Ob ein Nutzer Zugriff auf ein Dokument erhält oder nicht, hängt oft vom Ablageort ab. Die Alternative führt über das Klassifizieren nach dem Dokumentinhalt. Dafür eignet sich die Funktion File Classification Infrastructure (FCI), die der Windows Server 2016 mitbringt. Dank der lokal zu installierenden Lösung legen Anwender automatisiert Regeln für Archivierungs- und Rechteverwaltungsdienste fest. Das erhöht die Datensicherheit.

Eine Fachabteilung will einer Nutzergruppe im Unternehmen schnell ein Dokument zur Verfügung stellen. Die interne IT-Abteilung verschiebt die Datei aus dem Abteilungs- in das allgemeine Shared-Verzeichnis auf dem File-Server. Diese Notlösung hat den entscheidenden Nachteil, dass im Prinzip alle Angestellten auf die Datei zugreifen können. Diese enthält im Beispielfall jedoch Informationen, die nur für einen ausgewählten Benutzerkreis bestimmt sind. Ein komplettes Dokumenten-Management-System würde umfangreichen Schutz bieten. Doch dessen Einführung scheitert gerade im Mittelstand häufig an der Projektkomplexität und am erforderlichen Konfigurationsaufwand.

Als wesentlich einfacher, eleganter und effizienter erweist sich hingegen der Weg, den das FCI-Feature in Windows Server 2016 eröffnet: Man vergibt Berechtigungen auf Basis von Klassifizierungen, die unabhängig vom Ablageort gelten. Konkret lassen sich mit dem Tool Dateien klassifizieren, zusätzliche Eigenschaften vergeben und Dokumente anhand der Merkmale steuern. Anwender können über Regeln ihre Archivierung optimieren und den Schutzstatus ihrer Dateien erhöhen.

Von Windows-Server-Lizenz abgedeckt

Microsoft hat den Windows Server 2016 im Oktober bereitgestellt. Er bringt viele Funktionen mit, die den IT-Betrieb näher an das softwaregesteuerte Rechenzentrum führen. Da gerät ein Feature wie FCI, das im WS2008 erstmals auftauchte, schnell aus dem Blick. Aber das Tool hat seine Berechtigung – sofern es Administratoren und Führungskräfte richtig einsetzen. Pro Nutzer oder klassifizierter Datei fallen keine Zusatzkosten an, denn die Windows-Server-Lizenz deckt alles ab.

Bei FCI handelt es sich um eine On-Premises-Lösung, die sich insbesondere für den Einsatz in komplett abgeschotteten Umgebungen eignet. Als Anwender kommen Banken, Sicherheits- und Justizbehörden, öffentliche Einrichtungen und Industrieunternehmen in Frage, die keine Internetanbindung ihrer Server-Welt zulassen wollen oder können. Dies soll unter anderem verhindern, dass personenbezogene Daten regelwidrig das eigene Netzwerk verlassen.

Dank FCI lassen sich regelbasiert Dateieigen- schaften zuweisen. Bild: Comparex

Intern gewinnt der Datenaustausch an Bedeutung, weil verstärkt abteilungsübergreifende Projekte auf der Tagesordnung stehen. Selbst in multifunktionalen Teams soll nicht jeder alle Dokumente lesen oder bearbeiten. Gängige Berechtigungsstrukturen für File-Server tragen diesem Umstand oft nicht ausreichend Rechnung. Denn der Zugriffs- und Schutzstatus ist in der Regel an den Ablageort gebunden. Findet ein Datentransfer aus der File-Struktur heraus statt, erlischt der Schutzmechanismus. Ziel muss es sein, Dokumente über ihre Nutzungsdauer hinweg auch unabhängig vom Ablageort zu schützen.

Das Verzeichnis oder der Ordner stellt auch weiterhin ein Kriterium dar, um Berechtigungen zu vergeben. Schließlich ist ein Dokument normalerweise eher als schützenswert einzustufen, wenn es die Personalabteilung in ihrer Dateistruktur ablegt. Ein Marketing-Ordner zeigt nicht automatisch Schutzbedarf an. Aber der Ablageort reicht als alleiniges Schutzkriterium eben nicht aus.

Dateieigenschaften festlegen

Ein Nutzer kann in die Dateieigenschaften gehen und dort die Klassifizierung vornehmen, die er benötigt. Das passiert allerdings häufig nicht: Vielen Anwendern ist dies schlicht zu aufwendig. An der Stelle kommt FCI ins Spiel, das auf dem sogenannten File Server Ressource Manager (FSRM) aufsetzt. Mit ihm legen Administratoren zentrale Dateieigenschaften an. Das können ganz einfache Ja/Nein-Entscheidungen wie „Confidential ja/nein“ sein. Es lassen sich auch Sicherheitslevel 200, 300, 400 oder Ähnliches für Dokumente festlegen. FCI weist einem Dokument eine Klassifizierung oder mehrere zu. Im FSRM kann man zudem Regeln definieren, nach denen das Klassifizieren der Dateien automatisch erfolgt.

Eine Regel, die auf Inhaltsklassifizierung abzielt, kann auf „Regular Expressions“ beruhen. Die Dokumente werden dann nach bestimmten Ausdrücken durchsucht. Weitere gängige Suchkriterien sind IP-Adressen, Kreditkartennummern und Formulierungen aus Standardformularen. Als schützenswert kann ein Anwender ein Dokument schon dann einstufen, wenn beispielsweise der Nachname eines Vorgesetzten darin enthalten ist.

Das Durchsuchen von Dokumenten beschränkt sich jedoch auf Office- und PDF-Formate. Dennoch lassen sich auch andere Formate wie CAD-Dateien inhaltlich klassifizieren. In dem Fall bietet sich eine Zuordnung nach Dateinamen oder Kundenprojekten an. Generell gilt, dass man für alle Dateitypen Klassifizierungen vornehmen und Zugriffsrechte vergeben kann. Wie eine Organisation dabei vorgehen sollte, hängt davon ab, welche Entscheidungswege sie intern etabliert hat.

Automatisierte Aktionen

Der Einsatz von FCI hat einen entscheidenden Vorteil: Unabhängig davon, wohin man ein Dokument verschiebt, bleibt seine Klassifizierung erhalten. Zielt die Berechtigungsstruktur nun nicht mehr nur auf den Ablageort, sondern auch auf die Klassifizierung der Dateien, so entsteht ein kontinuierlicher Dokumentenschutz. Zusätzlich lassen sich im Zusammenspiel von FCI mit FSRM Aktionen ausführen. So liefert die Klassifizierung die Basis, um den Archivierungsstatus zu setzen. Wurde einem Dokument zum Beispiel das Merkmal „Confidential ja“ zugewiesen, könnte eine zusätzliche Regel greifen: Diese Datei ist 20 Jahre zu archivieren. Auch könnte man eine Datei, die aus einer bestimmten Abteilung stammt und das Sicherheitslevel 400 repräsentiert, ebenfalls automatisch 20 Jahre archivieren.

Administratoren können mit FCI und FSRM zudem ihre File-Server automatisiert bereinigen. Vorstellbar ist das Entfernen aller Daten, die seit mehr als 365 Tagen niemand editiert und gelesen hat. Oder ein spezielle Sicherheitsregel könnte greifen, die besagt: Alle Dateien, die älter als 100 Tage sind, den Status „Confidential ja“ innehaben und im Excel-Format abliegen, sollen von den Dateifreigaben entfernt werden und nicht mehr für die Endanwender zur Verfügung stehen.

Wenn nun ein Dokument die Klassifizierung „Confidential“ besitzt, kann außerdem eine bestimmte Rechte-Management-Richtlinie zur Anwendung kommen. So lässt sich ein Dokumentenschutz hinterlegen, wodurch sich ein Nutzer vor dem Öffnen des Dokuments authentifizieren muss.

Das Rechte-Management ist relativ eingeschränkt, weil es beim üblichen Active-Directory-Rights-Management nur mit Office- und PDF-Dokumenten funktioniert. Seit Windows Server 2012 existiert das Feature Dynamic Access Control (DAC), in dem FCI implementiert ist. DAC dient dazu, Zugriffs- und Audit-Richtlinien zentral im Active Directory zu steuern. Diese Integration vereinfacht die Klassifizierung und spart erheblichen Management-Aufwand. Denn die interne IT kann viel granularer Berechtigungen festlegen, welcher Anwender auf welche Inhalte zugreifen und sie lesen darf – ohne dafür tausende Unterordner zu erstellen. Unternehmen können über DAC ihre Klassifizierung global anwenden. Das Feature verteilt die verfügbaren Klassifizierungseigenschaften automatisch auf alle File-Server im Unternehmen.

FCI ersetzt kein komplettes Dokumenten-Management-System. Es klassifiziert lediglich, was wiederum die Voraussetzung dafür schafft, dass weitere Schutzmechanismen wirken können. Setzen Firmen Rechteverwaltungsdienstregeln (Rights-Management-Services, RMS) für ihre Daten fest, verhindern sie, dass ungewollt nach außen gelangte Dokumente lesbar sind. An der Stelle greift der weitergehende Schutz. Anwender definieren mit dem Klassifizierungs-Tool, welche ihrer Dateien schützenswert sind. Zudem entlastet das On-Premises-System die interne IT, weil es zusätzlich Datei-Verwaltungsaufgaben übernimmt.

Eric Berg ist Senior IT Architect bei Comparex ().